Eng méi Saach déi ech vergiess hunn ze ernimmen ass datt den ACL net nëmmen de Traffic op enger erlaabt / verleegnen Basis filtert, et mécht vill méi Funktiounen. Zum Beispill gëtt en ACL benotzt fir de VPN-Traffic ze verschlësselen, awer fir den CCNA-Examen ze passéieren, musst Dir just wëssen wéi et benotzt gëtt fir de Traffic ze filteren. Komme mer zréck op de Problem Nummer 1.
Mir hunn erausfonnt datt de Comptabilitéits- a Verkafsdepartement Traffic op der R2 Output Interface blockéiert ka ginn mat der folgender ACL Lëscht.
Maacht Iech keng Suergen iwwer d'Format vun dëser Lëscht, et ass just als Beispill geduecht fir Iech ze hëllefen ze verstoen wat en ACL ass. Mir kommen op dat richtegt Format wann mir mat Packet Tracer ufänken.
Aufgab Nummer 2 kléngt esou: de Serverraum ka mat all Hosten kommunizéieren, ausser den Hosten vun der Gestiounsdepartement. Dat ass, de Serverraumcomputer kënnen Zougang zu all Computer an de Verkafs- a Comptabilitéitsdepartementer hunn, awer sollten net Zougang zu de Computeren an der Gestiounsdepartement hunn. Dëst bedeit datt d'IT-Personal vum Serverraum kee Fernzougang zum Computer vum Chef vun der Gestiounsdepartement sollt hunn, mee bei Probleemer op säi Büro kommen an de Problem op der Plaz fixéieren. Bedenkt datt dës Aufgab net praktesch ass, well ech weess net firwat de Serverraum net fäeg wier iwwer d'Netzwierk mat der Gestiounsdepartement ze kommunizéieren, also an dësem Fall kucken mir just en Tutorial Beispill.
Fir dëse Problem ze léisen, musst Dir als éischt de Verkéierswee bestëmmen. Daten aus dem Serverraum kommen op d'Input Interface G0/1 vum Router R1 a ginn an d'Gestiounsdepartement duerch d'Ausgabinterface G0/0 geschéckt.
Wa mir den Deny 192.168.1.192/27 Conditioun op d'Input Interface G0/1 applizéieren, a wéi Dir Iech erënnert, gëtt de Standard ACL méi no bei der Trafficquell plazéiert, blockéiere mir all Traffic, och un de Verkafs- a Comptabilitéitsdepartement.
Well mir wëllen nëmmen den Traffic, deen un d'Gestiounsdepartement geriicht gëtt, blockéieren, musse mir en ACL op d'Ausgabinterface G0/0 applizéieren. Dëse Problem kann nëmme geléist ginn andeems Dir den ACL méi no bei der Destinatioun setzt. Zur selwechter Zäit muss de Verkéier vum Comptabilitéits- a Verkafsdepartementsnetz fräi d'Gestiounsdepartement erreechen, sou datt déi lescht Zeil vun der Lëscht d'Erlaabnes all Kommando ass - fir all Traffic z'erméiglechen, ausser de Verkéier, deen an der viregter Konditioun uginn ass.
Komme mer weider op Aufgab Nummer 3: de Laptop 3 Laptop aus dem Verkafsdepartement soll keen Accès op aner Apparater hunn wéi déi, déi um lokalen Netz vum Verkafsdepartement sinn. Loosst eis dovun ausgoen, datt e Stagiaire op dësem Computer schafft an net iwwer säi LAN soll goen.
An dësem Fall musst Dir en ACL op der Input Interface G0/1 vum Router R2 applizéieren. Wa mir d'IP Adress 192.168.1.3/25 un dësem Computer zouginn, da muss d'Deny 192.168.1.3/25 Conditioun erfëllt sinn, an de Traffic vun all aner IP Adress däerf net blockéiert ginn, sou datt déi lescht Zeil vun der Lëscht Permit ass iergendeen.
Wéi och ëmmer, de Verkéier blockéieren wäert keen Effekt op Laptop2 hunn.
Déi nächst Aufgab wäert Aufgab Nummer 4 sinn: nëmmen Computer PC0 vun der Finanzdepartement kann Zougang zum Servernetz hunn, awer net d'Gestiounsdepartement.
Wann Dir Iech drun erënnert, blockéiert den ACL vun Task #1 all erausginn Traffic op der S0/1/0 Interface vum Router R2, awer Task #4 seet datt mir musse suergen datt nëmmen PC0 Traffic passéiert, also musse mir eng Ausnahm maachen.
All d'Aufgaben, déi mir elo léisen, sollen Iech an enger realer Situatioun hëllefen, wann Dir ACLs fir en Bürosnetz opbaut. Fir d'Bequemlechkeet hunn ech déi klassesch Aart vun der Entrée benotzt, awer ech roden Iech all d'Zeilen manuell op Pabeier ze schreiwen oder se an e Computer ze schreiwen, fir datt Dir Korrekturen un d'Entréeën maache kënnt. An eisem Fall, no de Bedéngungen vun der Aufgab Nummer 1, gouf eng klassesch ACL-Lëscht zesummegestallt. Wa mir wëllen eng Ausnam fir et fir PC0 vun Typ Permit , da kënne mir dës Linn nëmmen véiert an der Lëscht setzen, no der Permit Any Line. Wéi och ëmmer, well d'Adress vun dësem Computer an der Palette vun Adressen abegraff ass fir den Deny Conditioun 0/192.168.1.128 z'iwwerpréiwen, gëtt säi Traffic direkt gespaart nodeems dës Bedingung erfëllt ass an de Router wäert einfach net op déi véiert Linn kontrolléieren, wat erlaabt Traffic vun dëser IP Adress.
Dofir muss ech d'ACL-Lëscht vun der Aufgab Nummer 1 komplett nei maachen, déi éischt Zeil läschen an se duerch d'Linn Permit 192.168.1.130/26 ersetzen, wat de Verkéier vum PC0 erlaabt, an dann erëm an d'Linnen aginn, déi all Verkéier verbidden. vun der Comptabilitéit an Ofsaz Departementer.
Also, an der éischter Zeil hu mir e Kommando fir eng spezifesch Adress, an an der zweeter - allgemeng fir de ganze Netz, an deem dës Adress läit. Wann Dir e modernen Typ vun ACL benotzt, kënnt Dir einfach Ännerunge maachen andeems Dir d'Linn Permit 192.168.1.130/26 als éischt Kommando setzt. Wann Dir e klassesche ACL hutt, musst Dir se komplett erofhuelen an dann d'Befehle an der korrekter Reihenfolge aginn.
D'Léisung fir Problem Nummer 4 ass d'Linn Permit 192.168.1.130/26 am Ufank vum ACL vum Problem Nummer 1 ze setzen, well nëmmen an dësem Fall wäert de Verkéier vum PC0 fräi d'Ausgangsinterface vum Router R2 verloossen. De Verkéier vum PC1 gëtt komplett blockéiert well seng IP Adress dem Verbuet ënnerleien, deen an der zweeter Zeil vun der Lëscht steet.
Mir ginn elo op Packet Tracer weider fir déi néideg Astellungen ze maachen. Ech hu schonn d'IP Adressen vun all Apparater konfiguréiert well déi vereinfacht virdrun Diagrammer e bësse schwéier ze verstoen waren. Ausserdeem hunn ech RIP tëscht den zwee Router konfiguréiert. Op der gegebene Netzwierktopologie ass d'Kommunikatioun tëscht allen Apparater vu 4 Subnets ouni Restriktiounen méiglech. Awer soubal mir den ACL applizéieren, fänkt de Traffic un ze filteren.
Ech fänken un mat der Finanzdepartement PC1 un a probéiert d'IP Adress 192.168.1.194 ze pingelen, déi zu Server0 gehéiert, am Serverraum. Wéi Dir gesitt, ass de Ping ouni Probleemer erfollegräich. Ech ping och erfollegräich Laptop0 aus der Gestioun Departement. Den éischte Paket gëtt wéinst ARP verworf, déi reschtlech 3 gi fräi gepingt.
Fir de Verkéiersfilter z'organiséieren, ginn ech an d'Astellunge vum R2 Router, aktivéiert de globale Konfiguratiounsmodus a wäert eng modern ACL Lëscht erstellen. Mir hunn och de klassesche Look ACL 10. Fir déi éischt Lëscht ze kreéieren, gitt ech e Kommando an deem Dir dee selwechte Lëschtnumm uginn musst, dee mir op Pabeier geschriwwen hunn: IP Access-Lëscht Standard ACL Secure_Ma_And_Se. Duerno freet de System no méigleche Parameteren: Ech ka refuséieren, Sortie, Nee, Erlaabnis oder Remark auswielen, an och eng Sequenznummer vun 1 bis 2147483647 aginn. Wann ech dat net maachen, gëtt de System se automatesch zougewisen.
Dofir ginn ech dës Nummer net aginn, awer direkt op d'Erlaabneshost 192.168.1.130 Kommando, well dës Erlaabnis gëlteg ass fir e spezifescht PC0 Apparat. Ech kann och eng ëmgedréint Wildcard Mask benotzen, elo weisen ech Iech wéi Dir et maacht.
Als nächst gitt ech de Kommando deny 192.168.1.128. Well mir /26 hunn, benotzen ech déi ëmgedréint Mask an ergänzen de Kommando mat: deny 192.168.1.128 0.0.0.63. Sou verweigeren ech de Verkéier an d'Netz 192.168.1.128/26.
Ähnlech blockéieren ech den Traffic aus dem folgenden Netzwierk: verleegnen 192.168.1.0 0.0.0.127. All anere Verkéier ass erlaabt, also ech gitt de Kommando Erlaabnis all. Als nächst muss ech dës Lëscht op d'Interface applizéieren, also benotzen ech de Kommando int s0/1/0. Da schreiwen ech ip Access-Grupp Secure_Ma_And_Se, an de System freet mech fir en Interface ze wielen - fir erakommen Paketen an eraus fir erausginn. Mir mussen den ACL op d'Output-Interface applizéieren, also benotzen ech den IP Access-Grupp Secure_Ma_And_Se out Kommando.
Loosst eis op d'PC0 Kommandozeil goen a ping d'IP Adress 192.168.1.194, déi zum Server0 Server gehéiert. De Ping ass erfollegräich well mir e speziellen ACL Conditioun fir PC0 Traffic benotzt hunn. Wann ech datselwecht vu PC1 maachen, generéiert de System e Feeler: "Destinatiounshost ass net verfügbar", well de Verkéier vun de verbleiwen IP Adressen vun der Comptabilitéitsdepartement blockéiert ass fir den Zougang zum Serverraum ze kréien.
Andeems Dir Iech an de CLI vum R2 Router aloggen an de Kommando weisen IP Adress Lëschten tippt, kënnt Dir gesinn wéi de Finanzdepartement Netzverkéier geréckelt gouf - et weist wéivill Mol de Ping no der Erlaabnis passéiert gouf a wéi oft et war no dem Verbuet blockéiert.
Mir kënnen ëmmer op d'Router Astellunge goen an d'Zougangslëscht gesinn. Sou sinn d'Konditioune vun den Aufgaben 1 an 4 erfëllt. Loosst mech Iech nach eng Saach weisen. Wann ech eppes fixéiere wëll, kann ech an de globale Konfiguratiounsmodus vun R2 Astellunge goen, gitt de Kommando IP Access-Lëscht Standard Secure_Ma_And_Se an dann de Kommando "Host 192.168.1.130 ass net erlaabt" - keng Erlaabnes Host 192.168.1.130.
Wa mir d'Zougangslëscht nach eng Kéier kucken, gesi mer datt d'Linn 10 verschwonnen ass, mir hunn nëmmen d'Linnen 20,30, 40 an XNUMX. Sou kënnt Dir d'ACL Zougangslëscht an de Router Astellungen änneren, awer nëmmen wann se net kompiléiert ass an der klassescher Form.
Loosse mer elo op den drëtten ACL goen, well et och de R2 Router betrëfft. Et seet datt all Traffic vum Laptop3 net d'Netzwierk vum Verkafsdepartement sollt verloossen. An dësem Fall sollt Laptop2 ouni Probleemer mat de Computere vum Finanzdepartement kommunizéieren. Fir dëst ze testen, pingen ech d'IP Adress 192.168.1.130 vun dësem Laptop a vergewëssert Iech datt alles funktionnéiert.
Elo ginn ech op d'Kommandozeil vun Laptop3 a ping d'Adress 192.168.1.130. Pinging ass erfollegräich, awer mir brauchen et net, well no de Bedéngungen vun der Aufgab Laptop3 kann nëmme mat Laptop2 kommunizéieren, deen am selwechte Verkafsdepartement Reseau läit. Fir dëst ze maachen, musst Dir eng aner ACL mat der klassescher Method erstellen.
Ech ginn zréck op R2 Astellungen a probéiert geläscht Entrée 10 ze recuperéieren mat der Erlaabnes Host 192.168.1.130 Kommando. Dir gesitt datt dës Entrée um Enn vun der Lëscht op der Nummer 50 erschéngt. Den Zougang funktionnéiert awer nach ëmmer net, well d'Linn déi e spezifesche Host erlaabt ass um Enn vun der Lëscht, an d'Linn déi all Netzverkéier verbitt ass uewen vun der Lëscht. Wa mir probéieren de Laptop0 vun der Gestiounsdepartement vum PC0 ze pingelen, kréie mir de Message "Destinatiounshost ass net zougänglech", trotz der Tatsaach, datt et en erlaabt Entrée op Nummer 50 am ACL ass.
Dofir, wann Dir e bestehende ACL wëllt änneren, musst Dir de Kommando no Permis Host 2 am R192.168.1.130 Modus (config-std-nacl) aginn, kontrolléiert datt d'Linn 50 aus der Lëscht verschwonnen ass, a gitt de Kommando 10 Erlaabnis. Host 192.168.1.130. Mir gesinn datt d'Lëscht elo an hir ursprénglech Form zréckkomm ass, mat dësem Entrée als éischt klasséiert. Sequenznummeren hëllefen d'Lëscht an iergendenger Form z'änneren, sou datt déi modern Form vun ACL vill méi praktesch ass wéi déi klassesch.
Elo wäert ech weisen wéi déi klassesch Form vun der ACL 10 Lëscht funktionéiert. Fir déi klassesch Lëscht ze benotzen, musst Dir de Kommando Accès-Lëscht 10? aginn, an no der Ufro déi gewënscht Handlung auswielen: refuséieren, erlaben oder bemierken. Da gitt ech d'Zeil Zougang-Lëscht 10 deny Host, duerno tippen ech de Kommando Zougang-Lëscht 10 deny 192.168.1.3 an addéiere déi ëmgedréint Mask. Well mir e Host hunn, ass d'Forward Subnet Mask 255.255.255.255, an de Réck ass 0.0.0.0. Als Resultat, fir den Hostverkéier ze verleegnen, muss ech de Kommando Zougang-Lëscht 10 deny 192.168.1.3 0.0.0.0 aginn. Duerno musst Dir Permissiounen spezifizéieren, fir déi ech de Kommando aginn Zougang-Lëscht 10 erlaabt all. Dës Lëscht muss op d'G0/1 Interface vum Router R2 applizéiert ginn, also gitt ech sequenziell d'Kommandoen an g0/1, IP Access-Grupp 10 an. Egal wéi eng Lëscht benotzt gëtt, klassesch oder modern, déiselwecht Befehle ginn benotzt fir dës Lëscht op den Interface z'applizéieren.
Fir ze kontrolléieren ob d'Astellunge richteg sinn, ginn ech op den Laptop3 Kommandozeilterminal a probéiert d'IP Adress 192.168.1.130 ze pingelen - wéi Dir gesitt, bericht de System datt den Destinatiounshost net erreechbar ass.
Loosst mech Iech drun erënneren datt fir d'Lëscht z'iwwerpréiwen, kënnt Dir souwuel d'Show IP Access-Lëschte wéi och d'Show Access-Lëscht Kommandoen benotzen. Mir mussen nach ee Problem léisen, deen op den R1 Router bezunn ass. Fir dëst ze maachen, ginn ech op d'CLI vun dësem Router a gitt op de globale Konfiguratiounsmodus a gitt de Kommando IP Access-Lëscht Standard Secure_Ma_From_Se. Well mir en Netz 192.168.1.192/27 hunn, wäert seng Subnet Mask 255.255.255.224 sinn, dat heescht datt d'Reverse Mask 0.0.0.31 wäert sinn a mir mussen de deny 192.168.1.192 0.0.0.31 Kommando aginn. Well all aner Verkéier erlaabt ass, endet d'Lëscht mat dem Kommando Erlaabnis all. Fir en ACL op den Output-Interface vum Router z'applizéieren, benotzt den IP Access-Grupp Secure_Ma_From_Se out Kommando.
Elo ginn ech op de Kommandozeilterminal vum Server0 a probéiert de Laptop0 vun der Managementdepartement op der IP Adress 192.168.1.226 ze pingelen. De Versuch war Mëssgléckt, awer wann ech d'Adress 192.168.1.130 gepingt hunn, gouf d'Verbindung ouni Probleemer etabléiert, dat ass, mir hunn de Servercomputer verbueden mat der Gestiounsdepartement ze kommunizéieren, awer d'Kommunikatioun mat all aneren Apparater an aneren Departementer erlaabt. Sou hu mir all 4 Problemer erfollegräich geléist.
Loosst mech Iech eppes anescht weisen. Mir ginn an d'Astellunge vum R2 Router, wou mir 2 Aarte vun ACL hunn - klassesch a modern. Loosst eis soen, ech wëll ACL 10 änneren, Standard IP Zougangslëscht 10, déi a senger klassescher Form aus zwee Entréen besteet 10 an 20. Wann ech de Kommando do show run benotzen, kann ech gesinn datt mir als éischt eng modern Zougangslëscht vu 4 hunn Entréen ouni Zuelen ënner der allgemenger Rubrik Secure_Ma_And_Se, an drënner sinn zwee ACL 10 Entréen vun der klassescher Form, déi den Numm vun der selwechter Zougangslëscht 10 widderhuelen.
Wann ech e puer Ännerunge maache wëll, wéi zum Beispill d'Entloossung vum Host 192.168.1.3 entlooss an en Entrée fir en Apparat op engem anere Netzwierk aféieren, muss ech de Kommando läschen nëmmen fir dës Entrée benotzen: keng Zougangslëscht 10 deny Host 192.168.1.3 .10. Awer soubal ech dëse Kommando aginn, verschwannen all ACL XNUMX Entréen komplett. Dofir ass déi klassesch Vue vum ACL ganz onbequem ze änneren. Déi modern Opnammethod ass vill méi bequem ze benotzen, well se gratis Redaktioun erlaabt.
Fir d'Material an dëser Video Lektioun ze léieren, roden ech Iech et nach eng Kéier ze kucken a probéiert d'Problemer eleng ze léisen ouni Hiweiser. ACL ass e wichtegt Thema am CCNA Cours, a vill sinn duercherneen, zum Beispill, d'Prozedur fir eng ëmgedréint Wildcard Mask ze kreéieren. Ech versécheren Iech, verstoen just d'Konzept vun Mask Transformatioun, an alles gëtt vill méi einfach ginn. Erënneren, datt déi wichtegst Saach am Versteesdemech vun der CCNA Course Sujeten praktesch Training ass, well nëmmen Praxis hëlleft Dir dëst oder dat Cisco Konzept verstoen. Praxis ass meng Teams net ze kopéieren, mee d'Problemer op Är eegen Manéier ze léisen. Stellt Iech Froen: Wat muss gemaach ginn fir de Flux vum Verkéier vun hei bis dohinner ze blockéieren, wou Konditioune gëllen asw., a probéiert se ze beäntweren.
Merci datt Dir bei eis bleift. Hutt Dir eis Artikelen gär? Wëllt Dir méi interessant Inhalt gesinn? Ënnerstëtzt eis andeems Dir eng Bestellung maacht oder Frënn empfeelt, 30% Remise fir Habr Benotzer op engem eenzegaartegen Analog vun Entry-Level Serveren, dee vun eis fir Iech erfonnt gouf: (verfügbar mat RAID1 an RAID10, bis zu 24 Kären a bis zu 40GB DDR4).
Dell R730xd 2 Mol méi bëlleg? Nëmmen hei an Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vun $99! Liest iwwer
Source: will.com